1. 项目背景
业务场景
某金融科技公司的AI平台运行了两个月,服务了内部200名员工。CTO在月度安全审计时发现了三个严重问题:
- 无鉴权裸奔:Ollama的API被配置为监听
0.0.0.0:11434,内网任何机器都可以直接调用。安全工程师用nmap一扫就发现了这个端口,随便发个curl就拿到了模型列表。 - Prompt泄漏敏感信息:客服人员把包含客户姓名、手机号、银行卡后四位的工单描述直接发给AI——这些信息以明文形式存储在AI服务的日志和会话历史中。
- 越权工具调用:第13章开发的订单查询工具没有做用户隔离——员工A查询了"ORD-20250001"的订单,员工B没有权限查看这个订单,但工具照样返回了全部信息。
CTO震怒:“AI平台的数据安全级别至少要和我们的核心业务系统一样!立即整改。”
痛点
- Ollama原生无鉴权:默认监听localhost是安全的,但一旦暴露内网就需要额外防护层。
- 用户数据在AI链路中裸奔:请求体(Prompt)、响应体、日志、审计记录——四层都可能渗出敏感数据。
- 工具调用无权限边界:模型可以调用系统函数,但没有机制限制"谁能调什么函数、查询什么数据"。
- Pro